BAT专家详解勒索病毒的原理、传播、防护

2017-05-15 21:20:45

   5月13日,一场流行病式的计算机病毒在全球的互联网世界中爆发,“疫情”已波及近百个国家。一旦感染该病毒,不到十秒,电脑里所有文件全被加密无法打开,只有按弹窗提示交赎金才能解密。

  这一造成全球性恐慌的计算机病毒被称为“勒索病毒”,又被叫做“敲诈者木马”。这次传播的是一个名为“wannacry”的新家族,该木马通过加密形式,锁定用户电脑里的txt、doc、ppt、xls等后缀名类型的文档,导致用户无法正常使用程序,从而进行勒索,要求用户提交赎金之后才解锁。

  在5月15日工作日到来之际,大量局域网办公电脑开机,或将再次出现病毒感染高峰。为此,澎湃新闻记者采访百度、腾讯、阿里公司的互联网安全专家对勒索病毒的原理、传播、防护进行了详细解答。

  病毒从何而来?

  据外媒报道,病毒发行者利用了去年被盗的美国国家安全局(NSA)自主设计的Windows系统黑客工具Eternal Blue,将2017年2月的一款勒索病毒升级。被感染的Windows用户必须在7天内交纳比特币作为赎金,否则电脑数据将被全部删除且无法修复。勒索病毒要求用户在被感染后的三天内交纳相当于300美元的比特币,三天后“赎金”将翻倍。英国NHS官方宣布,袭击该系统的勒索病毒叫做WannaCry(想哭吗)或Wanna Decryptor(想解锁吗)。

  腾讯安全部门向澎湃新闻表示, Wana系列敲诈者木马的传播渠道是利用了445端口传播扩散的SMB漏洞MS17-101,微软在17年3月发布了该漏洞的补丁。2017年4月,黑客组织Shadow Brokers公布的Equation Group(方程式组织),使用的“网络军火库”中包含了该漏洞的利用程序,而该勒索软件的攻击者或者攻击组织,就是在借鉴了“网络军火库”后进行了这次全球大规模的攻击,主要影响校园网,医院等内网用户。

  传播为何如此之快?

  截至5月13日晚8点,我国共39730家机构被这一新型“蠕虫”式勒索病毒感染。病毒传播速度之快前所未有。

  百度首席安全科学家韦韬告诉澎湃新闻记者,勒索病毒已经发展很久了,与之前的不同之处是这次的病毒传播模块采取了主动传播方式,因此形成了全球范围内的快速蔓延。

  韦韬称:“以前的勒索病毒主要通过邮件诈骗的方式,欺骗受害者人工点击,需要人工介入。而这次的勒索病毒是利用了前段时间公开的微软的一个远程漏洞,可以通过远程网络连接直接入侵机器。这次蠕虫与勒索病毒结合在一起,所以形成了像流行病学式的快速爆炸。”

  有何危害?

  韦韬认为,主动传播方式使得勒索病毒影响更大,因为病毒爆发集中,使得很多系统无法正常工作,但目前数据价值损失没有表面上的那么大。因为中病毒的机器主要是不重视安全的计算机。微软在今年3月份已经发布了安全补丁,真正重视安全的部门只要及时升级,就不会这次勒索蠕虫的影响。而之前邮件传播的勒索病毒即便做了很好的安全升级工作,使用者一旦不小心误点了执行,也很有可能会中招。

  韦韬还指出,从效果来看,目前病毒的传播方比特币钱包才收到了约17个左右的比特币,相当于3万美元左右。这表明目前愿意交赎金的人并不多,也从侧面说明了病毒侵入的资料价值并不高。不过还要等到周一看是否会有一波交赎金的高峰到来。

  “横向对比来看,大陆各省在这次传染中的情况还好,对比台湾好不少。” 韦韬表示,目前大陆受影响相对较小的重要原因在于,大陆的运营商在过去蠕虫传播的时代,就已经把这次病毒传播的主要端口封禁了,所以这次运营商的网络没有出现大规模爆发。

  为什么校园网用户容易中招?

  从中国的情况来看,在此次病毒传播中,大量高校的校园网不幸“感染”。据报道,5月12日20时左右,国内部分高校学生反映电脑被病毒攻击,文档被加密。攻击者称需支付比特币解锁。目前受影响的有贺州学院、桂林电子科技大学、桂林航天工业学院、大连海事大学、山东大学等。

  腾讯表示,由于之前爆发过多起利用445端口共享漏洞攻击案例,运营商对个人用户关闭了445端口。因校园网是独立的,故无此设置,加上不及时更新补丁,所以在本次事件中导致大量校园网用户中招。

  阿里云安全专家分析,此次勒索事件在校园网传播速度之快,影响面之大,主要原因是当前大部分学校基本是一个大的内网互通的局域网,不同的业务未划分安全区域。例如:学生管理系统、教务系统等都可以通过任何一台连入的设备访问,同时,实验室、多媒体教室、机器IP分配多为公网IP,如果学校未做相关的权限限制,所有机器直接暴露在外面。

  物联网设备也中招

  “这次有一个非常有意思的现象,一些日常生活中用到的加油卡终端、ATM机等智能设备也中毒了,无法提供服务。这反映出现在不仅是办公计算机,这些智能设备也处于非常严重的安全威胁之下。” 韦韬说道。

  韦韬指出:“随着智能设备越来越普及、越来越深入生活的方方面面,这样的威胁会变得非常恐怖。我最近看到了一个漫画,画中家里所有的电器都在向你要钱。我认为这次事件正是这样的勒索物联网时代的一个开端。现实中的情况也是如此,目前国内外很多智能设备在安全防护上的情况很不乐观。”

   如何防备?

  综合专家意见,防止中招最直接的办法是及时打补丁修复漏洞。

  腾讯方面表示,腾讯电脑管家可提供漏洞防御,主动拦截多层安全保护,并会提示用户打补丁,及时修复漏洞。 避免被勒索的方法包括:1,下载并打补丁,及时修复漏洞;2,关闭445等端口的网络访问权限;3,开启腾讯电脑管家主动防御系统。此外,如果用户被锁定和勒索,也建议不要向勒索者缴纳赎金。

  从个人防护的角度,韦韬建议,要加强社会整体的互联网安全教育,比如安全补丁要及时升级、不明邮件不要随便点击、不法的网站不要去浏览。

  “但从组织、社会、国家的角度去看,我们一方面要加强信息安全普及教育,同时也必须要意识到很多人是不会去做升级这件事情的。因而企业、社会、国家必须做好整体性防护措施,及时切断互联网感染渠道,保护不懂安全的普通民众免遭损失。” 韦韬说道。


BAT
收藏 举报

延伸 · 阅读